Se ha descubierto una falla crítica de seguridad en el Servicio de Informes de Errores de Windows, que permite a atacantes con acceso de usuario estándar escalar sus privilegios hasta el nivel de SYSTEM. La vulnerabilidad CVE-2026-20817, parcheada por Microsoft en enero de 2026, representa una amenaza significativa para los entornos Windows debido a su baja complejidad de ataque y su potencial para comprometer por completo el sistema. 

Se ha descubierto una fallo crítico de seguridad en el Servicio de Informes de Errores de Windows, que permite a atacantes con acceso de usuario estándar escalar sus privilegios hasta el control a nivel de SYSTEM.

CVE-2026-20817, parcheado por Microsoft en enero de 2026, representa una amenaza significativa para los entornos Windows debido a su baja complejidad de ataque y su potencial para comprometer completamente el sistema.

CVE-2026-20817 es una vulnerabilidad de escalada de privilegios local clasificada como CWE-280 (Manejo inadecuado de permisos o privilegios insuficientes) con una puntuación CVSS de 7.8 (Alta).

La falla existe en el Servicio de Informes de Errores de Windows (wersvc.dll), que se ejecuta con privilegios NT AUTHORITY\SYSTEM y escucha solicitudes de clientes a través del puerto ALPC (Advanced Local Procedure Call).

La vulnerabilidad ocurre porque el servicio no verifica los permisos del solicitante al procesar solicitudes de creación de procesos.

Un atacante con privilegios de usuario normales puede enviar un mensaje especialmente diseñado para crear un proceso con un token a nivel de SYSTEM, sin el privilegio SeTcbPrivilege, y obtener control total sobre los argumentos de la línea de comandos del proceso.

Vulnerabilidad en el Servicio de Informes de Errores de Windows

La cadena de explotación implica varios pasos críticos. Primero, la función CWerService::SvcElevatedLaunch procesa solicitudes sin verificar la autorización, permitiendo que usuarios ordinarios avancen sin restricciones.

Luego, el servicio extrae líneas de comandos controladas por el atacante desde la memoria compartida y las pasa a funciones de creación de procesos.

La vulnerabilidad central reside en la función UserTokenUtility::GetProcessToken, que crea un nuevo token basado en el token SYSTEM del servicio WER, pero solo eliminando el privilegio SeTcbPrivilege.

Este token conserva privilegios elevados, como SeDebugPrivilege, SeImpersonatePrivilege y SeBackupPrivilege, que permiten el robo de credenciales y la toma completa del sistema.

Microsoft solucionó CVE-2026-20817 implementando un indicador de función que desactiva por completo la funcionalidad vulnerable, en lugar de añadir lógica de verificación de permisos.

Esto sugiere que la función estaba destinada solo para uso interno y nunca debería haber sido accesible externamente.

Microsoft ha marcado esta vulnerabilidad como "Explotación más probable" en un plazo de 30 días, destacando la urgencia de aplicar los parches.

78researchlab recomienda a las organizaciones aplicar inmediatamente las actualizaciones de seguridad de Microsoft de enero de 2026.

Cuando no sea posible aplicar el parche, los administradores deben reforzar la supervisión de endpoints para detectar eventos inusuales de creación de procesos WerFault.exe o WerMgr.exe con tokens SYSTEM que carezcan del privilegio SeTcbPrivilege.

CVE-2026-20817 subraya la importancia crítica de las comprobaciones de autorización adecuadas en servicios privilegiados, ya que incluso descuidos aparentemente menores pueden llevar a un compromiso total del sistema.